Maatregelen om datalekken te voorkomen

De AVG (Algemene verordering gegevensbescherming) schrijft voor dat organisaties die persoonlijke gegevens gebruiken ervoor moeten zorgen dat deze gegevens goed beveiligd worden. Dit betekent dat zowel bedrijven als overheidsinstellingen maatregelen moeten treffen om de gegevens veilig te houden.

De boete die de Autoriteit Persoonsgegevens op kan leggen bij datalekken (of de onrechtmatige verwerking van persoonsgegevens) is niet mals. Deze boete kan oplopen tot meer dan 800.000 euro of 10 procent van de jaaromzet van de organisatie.

Bekijk hier het boetebeleid van de Autoriteit Persoonsgegevens.

Door de juiste maatregelen te treffen wil je een datalek voorkomen. Maar hoeveel actie je ook onderneemt, het is niet mogelijk om het risico naar nul te brengen. Krijgt jouw organisatie toch te maken met een datalek, dan zal de Autoriteit Persoonsgegevens bij het beoordelen van het lek kijken wat de organisatie heeft gedaan om persoonsgegevens te beschermen. De boete zal lager uitvallen of in sommige gevallen zelfs voorkomen kunnen worden, als de organisatie kan aantonen dat er passende maatregelen zijn getroffen om datalekken te voorkomen.

Om een datalek te voorkomen, moeten organisaties volgens de Autoriteit Persoonsgegevens twee soorten maatregelen treffen. Enerzijds moeten ze technologie inzetten om lekken te voorkomen en anderzijds is het ook belangrijk om als organisatie verstandig om te gaan met persoonsgegevens. Hier volgen een aantal technologische en organisatorische tips waarmee je datalekken kunt voorkomen.

Sommige verwerkingen van persoonsgegevens moeten gemeld worden bij de Autoriteit Persoonsgegevens. Deze meldingen worden bijgehouden in een openbaar register. Dit helpt mensen gebruik te maken van hun rechten op het gebied van privacy. Hier lees je welke persoonsgegevens wel of niet gemeld moeten worden.

De functionaris gegevensbescherming is intern de verantwoordelijke voor het beleid rondom het beschermen van persoonsgegevens. Hij of zij houdt toezicht op het toepassen en naleven van de Algemene verordening gegevensbescherming (AVG). Voor iedere organisatie is het verstandig een FG aan te wijzen, maar in 3 situaties is dit volgens de AVG verplicht. Het aanstellen van een FG is verplicht voor publieke organisaties, organisaties die op grote schaal mensen volgen (denk aan cameratoezicht) en organisaties die veel te maken hebben met het verwerken van bijzondere persoonsgegevens.

Zorg ervoor dat je weet waar persoonsgegevens zich bevinden in de organisatie en welke routes de gegevens afleggen. Zo kom je erachter in welke processen persoonsgegevens verwerkt worden en waar het risico op een datalek zich dus bevindt. Vergeet hierbij ook de papieren gegevens niet.

Door gegevens versleuteld op te slaan en te delen, verklein je de kans op een datalek. Versleutelde berichten kunnen alleen gelezen en bewerkt worden door mensen die beschikken over de juiste sleutel. Encryptie kan ervoor zorgen dat data nog steeds veilig is wanneer er een datalek plaatsvindt.

Gegevens die niet bewaard hoeven te worden volgens de bewaartermijn en niet van nut zijn voor de organisatie, kun je het beste vernietigen. Dit klinkt logisch, maar in de praktijk blijkt dat organisaties enorm veel gegevens bewaren die ze nergens meer voor nodig hebben. Hoe minder gegevens je bewaart, hoe kleiner de kans is op het lekken van data.

Zorg dat je digitale basishygiëne op orde is om cyberaanvallen te voorkomen. Denk aan het regelmatig installeren van updates en patches, het gebruik van sterke wachtwoorden en multifactor-authenticatie, en het beperken van toegangsrechten tot wat echt nodig is. Versleutel gevoelige data en maak altijd back-ups op een veilige locatie. Deze maatregelen verkleinen de kans op datalekken en ransomware-aanvallen aanzienlijk.

Amerikaanse wetgeving zoals de Cloud Act verplicht providers om gegevens aan autoriteiten te overhandigen, zelfs als die data in Europa staat. Dit kan leiden tot schending van privacyregels en non-compliance met de AVG en NIS2. Kies daarom voor Europese datacenters en leveranciers die voldoen aan strenge EU-regelgeving. Zo bescherm je gevoelige informatie tegen ongewenste toegang en juridische risico’s. Lees verderop in dit artikel hoe je veilige cloudopslag selecteert en compliant blijft.

Datalekken worden vaak door medewerkers veroorzaakt. Hoewel er kwade opzet in het spel kan zijn, is dit meestal niet het geval. Vaak ontstaan lekken doordat medewerkers gebruik maken van publieke clouddiensten zoals Dropbox. Ook laten ze soms USB-sticks slingeren, delen ze onbeveiligde maar privacygevoelige documenten of klikken ze op bijlagen in verdachte e-mails. Door medewerkers awareness trainingen aan te bieden help je ze met het herkennen van onveilige situaties en verlaag je de kans op datalekken.